Úřad pro ochranu osobních údajů dostal minulé pondělí od Policie České republiky důležitou listinu. Policisté v ní úřad žádají o projednání databáze lidí v karanténě nebo v izolaci, jak jim to nařizuje zákon o zpracování osobních údajů. Smyslem je zjistit, zda evidence nepředstavuje nepřijatelný zásah do práv obyvatel.
Na první pohled vypadá krok českých policistů příkladně, skutečnost je ale složitější. Žádost vznikla teprve po výzvě od ministerstva vnitra, kterému to nařídil právě Úřad pro ochranu osobních údajů. Zasáhl proto, že policie hned na počátku shromažďování informací nepostupovala podle zákona.
"Policie vytvořila evidenci, jejíž vznik měla s úřadem konzultovat. To je její povinnost podle zákona o zpracování osobních údajů. Protože tak neučinila, vydal úřad pravomocný příkaz, aby podala žádost o projednání zpracování osobních údajů," sdělil Aktuálně.cz Vojtěch Marcín z tiskového oddělení úřadu.
Příkaz hlavní hygieničky
Na začátku příběhu stál příkaz tehdejší hlavní hygieničky Jarmily Rážové. Po příchodu nemoci covid-19 do Česka nařídila koncem března 2020 všem krajským hygienickým stanicím posílat do kanceláře policejního prezidenta osobní údaje lidí, kteří jsou po kontaktu s nakaženým v karanténě nebo po nákaze v izolaci.
Hygieny měly policistům předávat jméno, příjmení, datum narození či trvalé bydliště dotčených. Aktualizovaná data se posílala na prezidium každé pondělí. Rážová tak podle svých slov naplňovala smysl zákona o ochraně veřejného zdraví, který vymáhá právě policie z důvodu "zajištění ochrany obyvatelstva a prevence nebezpečí vzniku a rozšíření onemocnění covid-19".
"Za tímto účelem se příslušníci Policie České republiky musí v nezbytném rozsahu seznamovat s osobními údaji osob, vůči nimž by měla být kontrola vykonána," citoval z dopisu Deník N, jenž loni v lednu na databázi upozornil. Od České správy sociálního zabezpečení pak policii proudila data lidí v karanténě, kteří požádali o náhradu mzdy.
"Jsem přesvědčený, že to je protiprávní. Z mého pohledu nelze nalézt v zákonu o zpracování osobních údajů žádný paragraf, o který by se to dalo opřít. Jsme v oblasti citlivých osobních údajů," řekl Aktuálně.cz spolutvůrce zákona o svobodném přístupu k informacím Oldřich Kužílek, člen Spolku pro ochranu osobních údajů.
Porušení GDPR, ale přišel odpor
Kvůli databázi spustil Úřad pro ochranu osobních údajů kontrolu, zda policie neporušuje evropské nařízení o ochraně osobních údajů, známé jako GDPR. Podle něj lze taková data shromažďovat jen na základě zákonného důvodu. Úřad dospěl k závěru, že postup policie uvedenému nařízení odporuje.
"Na základě kontroly byl vydán příkaz, který konstatoval porušení ustanovení GDPR. Zároveň uložil policii zdržet se předmětného zpracování osobních údajů," vysvětlil Vojtěch Marcín z tiskového oddělení úřadu. Příkaz obdrželo loni v červenci ministerstvo vnitra, pod které policie spadá.
Podalo však proti němu odpor a v následném správním řízení zvolilo novou argumentaci. Do té doby policie uváděla, že osobní údaje sbírá kvůli pomoci hygienám v duchu zákona o ochraně veřejného zdraví. Ministerstvo však databázi začalo hájit tím, že ji policie buduje za účelem předcházet, stíhat a trestat delikty. Takový záměr je z pohledu vnitra spojený s výkonem veřejné moci a platí pro něj výjimka z GDPR.
Policie se tak zatím nemusí evidence vzdát. Současně však nepřímo přiznala, že nesplnila zákonnou povinnost, když o tvorbě databáze nejednala s Úřadem pro ochranu osobních údajů. Žádost o projednání mu odeslala teprve minulé pondělí prostřednictvím ministerstva vnitra. Poté, co to úřad sám nařídil.
Zákonná kontrola až po dvou letech
Po projednání žádosti by měl úřad vyhodnotit, zda evidence nepředstavuje hrozbu narušení práv občanů. Smyslem projednání je přitom upozornit na případná rizika předem, aby bylo možné přijmout včasná a vhodná opatření. Jenže zmíněnou evidenci už policie vede a využívá skoro dva roky.
Úřad sleduje i původní linii příběhu, tedy zda policie nepostupuje v rozporu s GDPR - bez ohledu na tvrzení policistů a vnitra, že se na ně toto nařízení nevztahuje. "Nelze vyloučit, že projednání zpracování osobních údajů osob, jimž byla nařízena karanténa nebo izolace, přinese ještě další informace," upozornil Marcín z tiskového oddělení úřadu.
"Policii se musí jasně definovat zkrácená doba uložení dat, způsob jejich mazání a další bezpečnostní okolnosti. Teoreticky to může přivést úřad k závěru, že evidence je přípustná, osobně si to však vůbec neumím představit," míní expert na správu osobních údajů Oldřich Kužílek.
Za porušení zákona o zpracování osobních údajů však nelze orgány veřejné moci trestat. Poslanci to uzákonili na jaře 2019 poté, co ministerstvu vnitra vedenému Janem Hamáčkem z ČSSD hrozila za pochybení při správě dat pokuta 1,1 milionu korun. I kdyby tedy nyní úřad shledal v policejní databázi nelegální vady, nemůže policii a vnitro postihnout. Může jim ale nařídit, aby databázi zrušili (podle některých výkladů však trest uložit lze, více v boxu pod článkem, pozn. aut.).
Jinak na veřejnosti, jinak před úřadem
Policie evidenci veřejně obhajuje způsobem, který před Úřadem pro ochranu osobních údajů popírá. "Osobní údaje zpracováváme za účelem poskytnutí součinnosti orgánům ochrany veřejného zdraví a kontroly dodržování opatření k zajištění ochrany veřejného zdraví," sdělil Aktuálně.cz mluvčí policejního prezidia Ondřej Moravčík.
Databázi podle něj policisté využívají ke kontrolám karantén a dodržování vládních restrikcí. Na začátku bývá podnět od některé z krajských hygienických stanic, která má zájem provést kontrolu například v nočním klubu. "Většinou těmto požadavkům vyhovíme a aktivizujeme příslušný počet hlídek, které doprovází kontrolory," popsal Moravčík.
Úřad pro ochranu osobních údajů
■ Úřad dohlíží na dodržování povinností stanovených zákonem při zpracování osobních údajů státními institucemi i soukromými subjekty.
■ Vyřizuje podněty a stížností na porušení zákonných povinností, projednává přestupky a ukládá pokuty, poskytuje konzultace, informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů.
■ Vznikl v roce 2000 transformací dosavadního odboru ochrany osobních údajů Úřadu pro státní informační systém.
Osobní údaje pro evidenci policie zpracovává pomocí zvláštní aplikace, do které mají přístup pouze vybraní policisté na operačních střediscích. Jde o zázemí, které má každý územní odbor policie. Přijímá tísňové hovory, má přehled o aktuálních incidentech a zajišťuje rozložení policejních sil v daném místě.
Data se podle Moravčíka neuchovávají. Policie je má k dispozici jen po dobu, kdy jsou dotčení lidé v karanténě či v izolaci. Po jejich uplynutí se přemazávají těmi aktuálními. "My jejich podobu nijak neovlivňujeme, nic nemažeme ani nic neupravujeme. Data vkládají příslušné instituce," dodal mluvčí.
Policii posílají data nově Duškovi statistici
Původní příkaz hlavní hygieničky nahradila loni v březnu dohoda mezi policií a ministerstvem zdravotnictví. Jak zjistilo Aktuálně.cz, povinnost krajských hygien posílat osobní údaje lidí v karanténě či v izolaci do policejní databáze letos padla. Vyplývá to z dopisu, jejž před dvěma týdny poslal policejní prezident Jan Švejdar nynější hlavní hygieničce Pavle Svrčinové. Data už policie dostává odjinud.
"Vzhledem k tomu, že policie nyní získává údaje o osobách, kterým byla v souvislosti s šířením onemocnění covid-19 nařízena karanténa nebo izolace od Ústavu zdravotnických informací a statistiky, není nadále nutné, aby tyto údaje zasílaly krajské hygienické stanice," stojí v dopise, který Aktuálně.cz získalo.
Stejně jako mluvčí prezidia Moravčík vysvětluje evidenci opačně, než jak ji policie hájí před Úřadem pro ochranu osobních údajů. "Policie je nadále připravena poskytnout součinnost orgánům ochrany veřejného zdraví při kontrole osob, jimž byl nařízena karanténa či izolace v souvislosti s pandemií covid-19," uvádí Švejdar.
Zrušení povinnosti posílat data policistům přišlo poté, co se ukázalo, že hygienici práci v pandemii nestíhali. V posledních měsících data poskytovali většinou až na výslovnou žádost policie. "Data neposíláme, není to v našich možnostech. Spolupráci jsme ukončili loni na podzim," řekla Aktuálně.cz ředitelka ústecké krajské hygieny Lenka Šimůnková. Údaje už neposílá ani Česká správa sociálního zabezpečení.
Analýza: Lze potrestat policii?
"Je pravdou, že zpracovávání osobních údajů policejními orgány nepodléhá
plně GDPR, respektive je třeba rozlišovat, kdy při tomto zpracování
vystupuje policie v roli správního orgánu a kdy v roli ozbrojeného
bezpečnostního sboru. V prvním případě bude podléhat GDPR a druhém
případě bude podléhat zákonu o zpracování osobních údajů a dalších přímo
použitelných právních instrumentů Evropské unie.
V prvním případě - policie vystupuje jako správní orgán a zpracování
podléhá GDPR - není vůbec co řešit. Nařízení EU jsou vždy přímo účinná v
právním řádu členských států, takže platí podmínka zákonnosti dle článku 6
GDPR a musí být k takovému zpracování osobních údajů zákonný podklad,
což v uvedeném případě není. Bude také platit to, co uvedl pan Kužílek
ohledně nemožnosti udělit policii za takové jednání pokutu.
Policie se ovšem v uvedeném případě dovolává výjimky pro účel vymáhání
práva, kdy působí jako ozbrojený bezpečnostní sbor. V tomto případě se
aplikuje zákon o zpracování osobních údajů a konkrétně jeho hlava III.
Tato hlava měla implementovat směrnici o ochraně osobních údajů při
prosazování práva (sesterský nástroj GDPR, který upravuje právě to, jak
mají postupovat policejní orgány při zpracování osobních údajů).
Zásadní problém je špatná implementace této směrnice a řada povinností z ní
nebyla nikdy do českého práva implementována. V článku 8 této směrnice je
uvedena přímá povinnost pro členské státy zavést povinnost zákonnosti
zpracování, podobně jako je v článku 6 GDPR. Jde o to, aby veškeré
zpracování osobních údajů bylo zákonem aprobované.
Přestože směrnice nejsou většinou přímo aplikovatelné, tak v tomto
případě článek 8 směrnice o ochraně osobních údajů při prosazování práva
přímo účinná pro všechny policejní orgány je. Splňuje všechny podmínky
vymezené judikaturou Evropského soudního dvora pro přímou aplikaci
směrnic (jasné a konkrétní vymezení povinnosti, uplynutí implementační
lhůty v čl. 63 směrnice, vertikální vzestupný účinek a široká definice
státu respektive zavázaných adresátů). Tudíž je jasné, že povinnost
zákonnosti zpracování je tady dána. Přestože Policie ČR a Ministerstvo
vnitra se tomuto brání a budou nejspíš vinu házet na chybu českých
zákonodárců, občané unie jsou právě takovým výkladem chráněni před
legislativními chybami členských států.
A zásadní na tom je také to, že v tomto případě může policejní orgán
skutečně dostat pokutu až 10 milionů korun, protože výjimka z možnosti
sankcionovat orgány veřejné moci platí jenom v režimu GDPR. Policejní
orgány dle zákona a zpracování osobních údajů pokuty dostat mohou a
nemají tuto výjimku. Přestupky policejní orgánů jsou v § 63 zákona o
zpracování osobních údajů, kde tato výjimka není. Výjimky ze sankcí
umožňuje GDPR, ale nikoliv směrnice, která v čl. 57 nařídila členským
státům zavést sankce, což bylo legislativně učiněno správně.
Tudíž pokud bych měl uvedené shrnout, tak pokud je vyjádření policie o
tom, že databázi vytvořil za účelem předcházet, stíhat a trestat
delikty, měl by být za toto protiprávní jednání sankcionován Úřadem pro
ochranu osobních údajů, kdy mu hrozí pokuta až 10 000 000 Kč dle zákona
o zpracování osobních údajů, protože povinnost zákonnosti zpracování
tady je dána z přímo použitelné směrnice."
Václav Mach, absolvent Přírodovědecké fakulty Univerzity Palackého v Olomouci, student právnické fakulty tamtéž, externí spolupracovník spolku Iuriducum Remedium zabývajícího se ochranou osobních údajů